nowmag.gr

Εδώ και περισσότερο από ένα μήνα κυκλοφορεί ο κακόβουλος κώδικας που εντοπίστηκε σε εφαρμογή συμπίεσης δεδομένων.

Ερευνητές εντόπισαν κερκόπορτα σε εφαρμογή συμπίεσης δεδομένων, η οποίο εισχώρησε σε δημοφιλείς διανομές του Linux, μεταξύ των οποίων η Red Hat και η Debian.

Η εφαρμογή, με την επωνυμία xz Utils, εισήγαγε τον κακόβουλο κώδικα στις εκδόσεις 5.6.0 και 5.6.1., σύμφωνα με τον Άντερς Φρόιντ, το developer που αποκάλυψε το πρόβλημα. Δεν έχει αναφερθεί η χρησιμοποίηση των εκδόσεων αυτών σε διανομές του Linux που να διατέθηκαν ως σταθερές, όμως τόσο η Red Hat όσο και η Debian ενημέρωσαν ότι πρόσφατες δοκιμαστικές διανομές τους ενσωμάτωναν τουλάχιστον μία από τις επίμαχες εκδόσεις: συγκεκριμένα, στις μη σταθερές και πειραματικές διανομές των Fedora Rawhide και Debian. Έχει επηρεαστεί επίσης σταθερή διανομή του Arch Linux. Η συγκεκριμένη διανομή, όμως, δεν χρησιμοποιείται σε συστήματα παραγωγής.

Καθώς η κερκόπορτα εντοπίστηκε πριν ενσωματωθούν οι κακόβουλες εκδόσεις του xz Utils σε διανομές του Linux που θα χρησιμοποιούνταν κανονικά, η κατάσταση αυτή “ουσιαστικά δεν επηρεάζει κανέναν στον έξω κόσμο”, ανέφερε ο Γουίλ Ντόρμαν, αναλυτής στην εταιρία ασφαλείας Analygence, σε διαδικτυακή του συνέντευξη. “Όμως, αυτό οφείλεται αποκλειστικά και μόνο στο ότι εντοπίστηκε νωρίς, χάρη στην απροσεξία του κακόβουλου παράγοντα. Αν δεν είχε εντοπιστεί, θα είχε καταστροφική επίδραση στον κόσμο”.

Σειρά εφαρμογών που περιλαμβάνονται στην εφαρμογή διαχείρισης πακέτων HomeBrew για macOS βασίζονταν στην προβληματική έκδοση 5.6.1. του xzUtils. Η εφαρμογή έχει επανέλθει ήδη στην έκδοση 5.4.6. Αναλυτικότερες πληροφορίες υπάρχουν εδώ.

Τα πρώτα σημάδια της κερκόπορτας εντοπίστηκαν στην ενημέρωση της 23ης Φεβρουαρίου, οπότε προστέθηκε συγκεχυμένος κώδικας, ανέφεραν αρμόδιοι της Red Hat. Η ενημέρωση της επόμενης ημέρας περιλάμβανε κακόβουλο κώδικα εγκατάστασης ο οποίος παρενέβαινε σε λειτουργείες του sshd, του δυαδικού αρχείου που επιτρέπει τη λειτουργία του SSH. Ο κακόβουλος κώδικας υπήρχε μόνο σε αρχειοθετημένες διανομές, τις λεγόμενες tarballs. Ο GIT κώδικας, που είναι διαθέσιμος σε αποθήκες κώδικα δεν επηρεάζεται, αν και περιέχει δευτέρου σταδίου artifacts που επιτρέπουν την εισαγωγή του κακόβουλου κώδικα. Στην περίπτωση που ο συγκεχυμένος κώδικας που εισήχθη στις 23 Φεβρουαρίου είναι παρών, τα artifacts στη GIT έκδοση επιτρέπουν στην κερκόπορτα να λειτουργήσει.

Τις κακόβουλες αλλαγές υπέβαλλε ο χρήστης JiaT75, ένας από τους δύο βασικούς developer του xz Utils, με πολύχρονη συνεισφορά στο έργο.

“Δεδομένης της δραστηριότητας που καταγράφηκε τις τελευταίες εβδομάδες, [ο χρήστης] είτε εμπλέκεται άμεσα, είτε υπήρξε κάποια πολύ σοβαρή παραβίαση του συστήματός του”, αναφέρει ο Φρόιντ. “Δυστυχώς, το δεύτερο ενδεχόμενο φαντάζει λιγότερο πιθανό, δεδομένου του ότι υπήρξε επικοινωνία [του χρήστη] σε διάφορες λίστες σχετικά με τις ‘διορθώσεις'” που επέφεραν οι πρόσφατες ενημερώσεις.

Οι χρήστες που συμμετέχουν στη συντήρηση της εφαρμογής xz Utils δεν απάντησαν άμεσα σε email που έθεταν ερωτήματα σχετικά με το τι είχε συμβεί.

Οι κακόβουλες εκδόσεις, όπως ανέφεραν ερευνητές, εσκεμμένα παρεμβαίνουν στη διαδικασία επικύρωσης του SSH, ενός πρωτοκόλλου που χρησιμοποιείται συχνά για την απομακρυσμένη σύνδεση με συστήματα. Το SSH προσφέρει στιβαρή κρυπτογράφηση, διασφαλίζοντας ότι μόνο εξουσιοδοτημένοι λογαριασμοί μπορούν να συνδεθούν σε ένα απομακρυσμένο σύστημα. Η κερκόπορτα είναι σχεδιασμένη έτσι ώστε να επιτρέπει σε έναν κακόβουλο χρήστη να διεισδύσει σε ολόκληρο το σύστημα, σπάζοντας την κρυπτογράφηση. Αυτό συμβαίνει καθώς η κερκόπορτα εισάγει κώδικα στη διάρκεια μιας καθοριστικής φάσης της διαδικασίας σύνδεσης.

Σε ορισμένες περιπτώσεις, η κερκόπορτα δεν λειτούργησε έτσι όπως ήταν σχεδιασμένη. Το περιβάλλον της διανομής Fedora 40, λόγου χάρη, περιλαμβάνει ασυμβατότητες που εμποδίζουν τη σωστή εισαγωγή του κακόβουλου κώδικα. Ήδη, η διανομή έχει επιστρέψει στις εκδόσεις 5.4.x της εφαρμογής xz Utils.

Η εφαρμογή αυτή είναι διαθέσιμη για τις περισσότερες από τις διανομές του Linux, όμως δεν την περιλαμβάνουν όλες. Όσοι χρησιμοποιούν Linux καλό θα ήταν να ελέγξουν άμεσα τη διανομή τους, ώστε να δουν αν επηρεάζεται το σύστημά τους. Ο Φρόιντ, στη σελίδα όπου περιγράφει αναλυτικά το πρόβλημα, περιλαμβάνει και script που εντοπίζει αν ένα σύστημα SSH έχει καταστεί ευάλωτο. 

Πηγή: https://www.insomnia.gr/
(Κώστας Παπαζαχαρίου, αναδημοσίευση 2/4/2024)

You May Like This